Es una necesidad común probar que un archivo realmente fue creado por alguien, y creo que GnuPG hizo el trabajo. Sin embargo, cualquiera puede generar una clave gpg con un correo electrónico no verificado. Los servidores de claves GPG no verifican mi dirección de correo electrónico en absoluto. ¿Hay alguna CA que proporcione validación de identidad, como lo hace la firma de un Certificado HTTPS?
Puede ir a una parte firmante del certificado o puede obtener un certificado X509 para su clave PGP y verificarlo mediante una CA en la que confían todas las partes involucradas.
Se puede usar cualquier certificado y clave privada para firmar un mensaje, pero es cuestión de a quién lo envíes para verificar esa confianza.
Sí, es arbitrario crear una clave falsa y publicarla, sin embargo, si realmente desea verificar con quién está hablando y ellos quieren verificarlo, primero debe proporcionar esa verificación fuera de banda.
Reuniéndolos en persona de la manera ideal para intercambiar su identidad de GPG, pero también puede hacerlo de manera confiable para verificar que está hablando con la persona deseada. Establecer una frase de seguridad durante una reunión personal y usarla a través de una llamada telefónica es una forma. Usar algo como Signal donde hayas verificado las claves de los demás es otra excelente manera de hacerlo.
Una CA no necesariamente implica que usted sea quien dice ser. Como se señaló, un correo electrónico no verificado puede recorrer un largo camino.
Ppk Infrastructure demuestra técnicamente que solo una clave determinada se ha utilizado para aplicar una firma. Se necesita una confianza organizativa aplicada a la tecnología para recibir una demostración de identidad.
Si tiene una clave publicada y firmada y se ve comprometida, en cuanto a la tecnología, el sistema de validez de firma no está roto. Sin embargo, en realidad, el mecanismo de identidad ahora es nulo. Has sufrido un robo de identidad. Esto lleva a la pregunta sobre cómo proteger su token de identidad en su organización. Y qué tan confiable es esto para las partes involucradas en la relación de confianza para los archivos que protege.